Artikelübersicht

Datenschutz ist jetzt akute Chefsache

Wie sich Arztpraxen auf das neue EU-Recht einstellen

Die Datenschutz-Grundverordnung (DSGVO) wird ohne Übergangsfrist für die gesamte Europäische Union gelten. Mit ihr soll der Datenschutz in der EU stärker vereinheitlicht werden. Die Anforderungen an Arztpraxen beim Umgang mit Patientendaten werden sich aufgrund der DSGVO spürbar ändern.

Unrechtmäßiges Verarbeiten personenbezogener Daten ist mit hohen Bußgeldsanktionen bedroht. Ferner verpflichtet die DSGVO die Praxisinhaber als "Verantwortliche" zu umfangreichen Nachweisen, die durch umfassende Dokumentationen zu führen sind.

Erfasst die DSGVO nur die elektronischen Akten?

Die DSGVO gilt technikneutral – für den Server genauso wie für den Aktenschrank. Personenbezogene Daten sind dabei alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Darunter fallen die Patientendaten, aber auch die Daten Dritter, Beschäftigter, von Lieferanten usw.

Unter Verarbeitung versteht die DSGVO jeglichen Umgang mit personenbezogenen Daten im weitesten Sinn. Dazu gehören das Erfassen, Ordnen, Abfragen, Löschen usw. Ausgenommen werden lediglich Verarbeitungen zu rein privaten Zwecken oder solche außerhalb von "Dateisystemen", d.h. ungeordnete Sammlungen.

Was jetzt zu tun ist

Wie die DSGVO umsetzen? Ein guter Anfang ist es, zunächst den Kern der notwendigen Dokumentation aufzubauen. Die DSGVO macht keine konkreten Vorgaben, wie das auszusehen hat. Es kann daher elek­tronisch oder analog ein Ordner "Datenschutz-Dokumentation" angelegt werden. Dieser hat zwei Teile.

Teil 1: "Datenschutzleitlinie". Hier legen die Verantwortlichen die strategischen Leitlinien des Datenschutzes in der Praxis fest und dokumentieren u.a. damit, dass der Datenschutz tatsächlich Chefsache ist.

Teil 2, den man vielleicht "Datenschutz-Handbuch" nennen könnte, dokumentiert den operativen Teil. Hier geht es um die Nachweise für den datenschutzkonformen Regelbetrieb, die Wahrung der Betroffenenrechte und die Adressierung der einschlägigen Spezialthemen.
Aus beiden Teilen lässt sich eine "Praxisrichtlinie für den Datenschutz" erarbeiten. Diese geht auf einzelne Verarbeitungssituationen ein und kann auf die im Handbuch dokumentierten Prozesse bzw. Verfahren verweisen.

Ein Verarbeitungsverzeichnis anlegen

Für die Dokumentation des Regelbetriebs ist das Erstellen eines Verarbeitungsverzeichnisses unverzichtbar (Art. 30 DSGVO). Dieses ist nicht öffentlich und auf Verlangen nur den Datenschutzbehörden vorzulegen.

Es sind zunächst alle personenbezogenen Prozesse im Verarbeitungsverzeichnis zu erfassen. Das sind alle Vorgänge, bei denen im weitesten Sinn mit personenbezogenen Daten umgegangen wird. Dabei werden nicht die konkreten Einzelvorgänge erfasst, sondern Klassen von Vorgängen abstrahierend beschrieben, also Neuerfassung Patientendaten, Abrechnung Patienten etc.

Zu diesen Vorgängen sind u.a. jeweils die Verantwortlichen, ggf. der Datenschutzbeauftragte, die Personen- und Datenkategorien und die Rechtsgrundlage zu erfassen.

Eine Besonderheit: Gesundheitsdaten

Das Verarbeiten von personenbezogenen Daten ist nur unter gesetzlich definierten Bedingungen rechtmäßig, z.B. zum Erfüllen eines Behandlungsvertrags, bei Einwilligungen, aber z.B. auch wegen gesetzlicher Aufbewahrungspflichten. Eine besondere Kategorie personenbezogener Daten sind die regelmäßig in Arztpraxen verarbeiteten Gesundheitsdaten.

Da das Verarbeiten solcher Daten tief in die Intimsphäre der Betroffenen eingreift, untersagt Art. 9 Abs. 1 DSGVO die Verarbeitung zunächst. Dieses Verbot wird allerdings in Art. 9 Abs. 2 für eng definierte Situationen außer Kraft gesetzt, z.B. ausdrückliche Einwilligung, Schutz lebenswichtiger Interessen, Gesundheitsvorsorge oder Arbeitsmedizin.

Organisation und Technik

Die Sicherheit der Verarbeitungen muss durch dokumentierte technische und organisatorische Maßnahmen gewährleistet werden. Diese sind an Art und Umfang sowie an den näheren Umständen und Zwecken zu orientieren.

Sie müssen die Wahrscheinlichkeit und die Schwere der Auswirkungen von Risiken im Praxisbetrieb beachten.

Betroffenenrechte wahren

Nach dem gleichen Muster wie die Verfahren für den Regelbetrieb werden die Verfahren für Informations-, Auskunfts-, Berichtigungs-, Löschungs- und Widerspruchsrechte dokumentiert. Hierfür notwendige Muster, Checklisten und Formblätter sollten bei den jeweiligen Prozessen abgespeichert oder beigeheftet werden. Wenn dann eine Anfrage kommt, kann der Prozess aufgerufen werden.

So müssen dem Patienten zum Zeitpunkt der Erhebung stets verschiedene Informationen nachweisbar mitgeteilt werden, z.B. der Verantwortliche, ggf. der Datenschutzbeauftragte, Zwecke und Rechtsgrundlage und ggf. externe Datenempfänger.

Weitergehende Informationen – etwa die Zeitdauer der Speicherung, das Bestehen der Betroffenenrechte, Widerrufsrechte etc. – sind lediglich zur Verfügung zu stellen. Sie könnten also daher auch im Wartezimmer ausgehängt oder auf Infozetteln verteilt werden. Weitgehend gleiche Pflichten bestehen bei der mittelbaren Datenerhebung über Dritte, z.B.  einen anderen Arzt oder Angehörige.

Spezialthemen anpacken

Bei den Spezialthemen ist der "Datenschutzvorfall" vorzubereiten. Auch hierfür sollte ein Prozess eingerichtet werden. Zu diesem kann eine Checkliste erarbeitet werden, aus der hervorgeht, was mögliche Datenschutzvorfälle in der Praxis sind und wie diese ggf. erkannt werden können.

Danach sind – je nach Schweregrad – Benachrichtigungen der Datenschutzbehörde oder unter Umständen auch des/der Betroffenen in einem Zeitfenster von maximal 72 Stunden vorzunehmen. Neben der Dokumentation der Abläufe sollte das auch tatsächlich eingeübt werden.

Ein weiteres Spezialthema für Arztpraxen ist der Datenschutzbeauftragte. Dieser ist u.a. dann zu bestellen, wenn mindestens zehn Personen ständig mit dem Verarbeiten personenbezogener Daten in der Praxis betraut sind.

Die nächsten Schritte

Die Vorbereitung auf die DSGVO ist ein echtes Praxisprojekt im doppelten Sinne. Die Verordnung fordert, wie dargelegt, zunächst einen rechtskonformen Regelbetrieb in der Praxis (mit definierten und dokumentierten Prozessen), die Wahrung der Betroffenenrechte und das Beachten von "speziellen Themen".

Nicht vergessen werden sollten zudem das Erstellen bzw. Anpassen von Verträgen mit Auftragsverarbeitern (z.B. IT-Dienstleistern) und der Datenschutzerklärung für die Praxiswebseite sowie das Durchführen einer sog. Datenschutz-Folgenabschätzung – um nur das Wichtigste zu nennen.

Die Rechenschaftspflicht der DSGVO führt also letztlich zu einem Datenschutzmanagement. Manche Ärztinnen und Ärzte fühlen sich hier an das Thema Hygienevorschriften erinnert.

RA Dr. Arnd-Christian Kulow,
DSB (TÜV SÜD), DSA (TÜV SÜD), QMB (TÜV SÜD)

Was Kammer und KV raten

Informationen von Bundesärztekammer und KBV zur EU-DSGVO: Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis "Datenschutz-Check 2018": Was müssen Arztpraxen angesichts der neuen Vorschriften zum Datenschutz tun?

www.bundesaerztekammer.de/recht/aktuelle-rechtliche-themen/datenschutzrecht

KBV-Themenseite Datensicherheit:

www.kbv.de/html/datensicherheit.php

Kommentare (0)

Keine Kommentare gefunden!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht.